Networking
如何通過唯一的 IP 地址分隔 PCAP
我有一個小時長的 PCAP 文件,其中有大約 60 次單獨的網路攻擊在我們的測試網路上進行。每次攻擊都來自一個唯一的 IP 地址,該地址在一小時內未在其他地方使用。
我想從這個文件中製作 60 個 pcap,但也包括後台流量。
攻擊發生的時間沒有真正的模式(即第一分鐘可能有 6 個,然後接下來的 10 分鐘可能有 1 個)。
我可以分離成只擷取攻擊的文件,但我真的對那裡的後台流量也很感興趣。
為了澄清我需要這個的原因,我正在使用這些數據來嘗試訓練基於機器學習的網路感測器。
假設您在名為 的文件中擁有攻擊 IP 列表,在 中具有
attack-ips
原始轉儲capture.pcap
,並且攻擊範圍為 1.0.0.0/24,則使用以下腳本tcpdump
應完成此操作:while read ATTACKIP; do tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24" done < attack-ips
過濾器選擇來自或來自攻擊 IP 的流量,或者既不來自也不來自攻擊範圍的流量(以排除所有其他攻擊 IP)。
您可以使用PcapSplitter,它是PcapPlusPlus軟體包的一部分。您可以使用此工具按客戶端 IP 拆分 pcap 文件,在您的情況下,您可能會得到 60 個文件,每個文件都包含一次攻擊。請按如下方式使用該工具:
PcapSpliter.exe -f <YOUR_PCAP> -m client-ip
你沒有提到你正在使用的作業系統,但是這個工具同時支持 Win32、Linux 和 Mac)